Pour les propriétaires de petites entreprises dotées d'un budget limité en matière de cybersécurité, il peut s'avérer difficile de déterminer comment investir du temps, des fonds et d'autres ressources pour la protection optimale de l'entreprise. Ces décisions peuvent encore gagner en complexité lorsque les fournisseurs, les professionnels de l'informatique, les journalistes et autres acteurs usent mal ou confondent les solutions telles que la détection et intervention managées (MDR) et les fournisseurs de services de sécurité managés (MSSP).
Dans cet article, nous examinons ces deux services et décrivons leurs principaux avantages distinctifs afin d'aider les entreprises à faire le meilleur choix.
En quoi consistent les services MDR ?
La détection et intervention managées (MDR) est un service de cybersécurité qui allie technologie et expertise humaine pour mettre en place des opérations de Threat Hunting, de surveillance et d'intervention en cas d'incident. Le principal avantage distinctif de la MDR réside dans ses capacités d'intervention. Autrement dit, en cas de brèche ou compromission, le fournisseur de service travaille avec ses clients à la résolution du problème et au retour à la normale. Toutefois, cela signifie que les capacités d'intervention de la MDR peuvent varier d'un fournisseur à l'autre. Certains services MDR proposent des interventions intégrales, d'autres des interventions plus limitées ou contrôlées.
Quels sont les avantages d'une solution MDR ?
Malgré leur disparité entre fournisseurs, les solutions MDR offrent le plus souvent l'ensemble d'avantages suivant :
- Rapidité : les entreprises qui utilisent une solution MDR peuvent immédiatement réduire leur délai de détection (donc leur délai de réponse) de plusieurs mois à quelques minutes à peine. L'entreprise est ainsi mieux à même de contenir la cybermenace et de réduire drastiquement son impact.
- Protection continue : la MDR offre une protection permanente contre les cybermenaces dissimulées et sophistiquées grâce au Threat Hunting managé continu et aux ressources d'intervention en cas d'événement de sécurité.
- Coût : étant donné que la MDR repose sur un modèle de services, les entreprises n'ont généralement pas besoin de recruter du personnel supplémentaire pour superviser les tâches de détection et d'intervention. De plus, les coûts de recrutement, de formation et d'équipement des threat hunters et intervenants sur incidents (des professionnels onéreux et très demandés sur les marchés actuels) sont répartis sur toute la clientèle par le fournisseur de service MDR.
- Supervision et maintenance : dans un modèle MDR, le prestataire de service ou le fournisseur est responsable de l'exploitation et de la maintenance de tous les outils et technologies associés au service. Cela signifie que l'équipe informatique n'a pas besoin de se préoccuper des subtilités de l'outil en lui-même ni de la technologie et des algorithmes d'intelligence artificielle (IA) et du Machine Learning (ML). Dans certains cas (selon les exigences du client), les MDR peuvent également travailler avec les fournisseurs MSSP pour assurer une surveillance intégrale des outils de sécurité.
- Optimisation de la main-d'œuvre : l'utilisation de la MDR pour gérer les tâches routinières et répétitives de réponse aux incidents permet aux membres de se concentrer sur des tâches de valeur supérieure et des projets plus stratégiques.
- Résilience : la MDR améliore la posture de sécurité et aide les entreprises à gagner en résilience face aux cyberattaques potentielles en optimisant la configuration de sécurité et en éliminant les systèmes non approuvés ou à haut risque.
Qu'est-ce qu'un fournisseur MSSP ?
Un fournisseur de services de sécurité managés (MSSP) est un terme utilisé pour décrire un prestataire informatique qui propose des solutions et services de cybersécurité. Les MSSP fournissent généralement une surveillance réseau à large spectre pour détecter les événements et émettent des alertes validées aux autres outils ou à l'équipe de sécurité de l'entreprise. Ils peuvent également proposer d'autres services tels que la gestion des technologies, des mises à niveau, de la conformité et des vulnérabilités.
La principale différence entre MSSP et MDR réside dans le fait que les MSSP ne répondent généralement pas aux cybermenaces de manière active. Ils vont plutôt envoyer des alertes crédibles à l'équipe informatique interne du client pour qu'elle les examine et les résolve. Cela nécessite une expertise hautement spécialisée ainsi qu'une disponibilité 24 h/24 et 7 j/7 côté client, une solution peu pratique pour bon nombre de petites entreprises.
La relation entre MSSP et MDR
La distinction entre MSSP et MDR devient plus claire lorsque l'on explicite les termes (fournisseur de services de sécurité managés et détection et intervention managées) au lieu des acronymes. Ainsi, il devient plus facile de catégoriser les services : comme son nom l'indique, un MSSP est un prestataire de services de sécurité, alors que la MDR est un service spécifique incluant la détection des cybermenaces et l'intervention.
Si tous les services MDR sont fournis par un MSSP, tous les MSSP ne proposent pas de MDR. (Considérez cela comme toute autre catégorie d'un secteur ou sous-secteur : tous les dalmatiens sont des chiens, mais tous les chiens ne sont pas des dalmatiens !)
Avantages et inconvénients d'un MSSP
Pour les entreprises en pleine construction de leur fonction informatique et qui ne peuvent mettre en place d'équipe dédiée ni investir dans un large éventail d'outils de cybersécurité, le choix de s'appuyer sur les services de sécurité d'un MSSP est une excellente option. Le recours à un MSSP permet aux équipes informatiques internes de se concentrer sur d'autres tâches que la sécurité, telles que le service et le support client ou les initiatives de transformation de l'entreprise, comme la migration vers le cloud et la gestion des données.
Cependant, le modèle MSSP peut générer quelques inconvénients. En premier lieu, de nombreux MSSP proposent une large sélection de services basiques de sécurité mais ne disposent pas d'une expertise approfondie dans un domaine particulier. Le MSSP peut également s'avérer contraignant en matière d'outils ou de solutions en fonction de ses capacités de prise en charge et d'intégration à d'autres services.
Enfin, certains MSSP proposent ce que l'on appelle parfois un « service trou noir ». Cela signifie que le prestataire ne fournit pas de données issues de ses services de surveillance au client. Par conséquent, les clients ne peuvent intégrer ces informations à d'autres aspects de leur stratégie de cybersécurité.
Principales différences entre MDR et MSSP
Même si nous venons d'établir que la MDR et les MSSP sont deux services de cybersécurité différents, certains acteurs du secteur peuvent utiliser ces termes de manière interchangeable. C'est une erreur.
Nous avons créé le tableau suivant afin de répertorier de façon claire leurs principales différences.
MDR | MSSP | |
---|---|---|
Réponse à l'événement | Oui. Comme son nom l'indique, la MDR inclut des services de détection et intervention managées. | Non. Le MSSP alerte le client au sujet de la brèche ou compromission, mais ne prend généralement pas en charge l'intervention. |
Ensemble de solutions | L'ensemble de solutions MDR inclut des capacités de détection et d'intervention. La plupart des offres comprennent l'assistance de la part d'un SOC (Security Operation Center) disponible 24 h/24 et 7 j/7, ainsi qu'une équipe humaine de threat hunters et d'intervention sur incident. | L'ensemble de solutions MSSP est essentiellement préventif. Il peut inclure des solutions antivirus, des pare-feux, des passerelles Web, des systèmes de prévention des intrusions et autres outils anti-brèche ou compromission. |
Proactive/réactive | Proactive et réactive. La MDR est un service complet qui s'appuie aussi bien sur les indicateurs d'attaque (IOA), qui apparaissent avant la brèche ou compromission, et les indicateurs de compromission (IOC), qui surviennent après l'incident, pour déterminer si l'entreprise est exposée à un risque. | Réactive. Les MSSP sont essentiellement de nature réactive. Ils alertent l'entreprise d'une brèche ou compromission, ou d'un événement de sécurité après la survenue de l'incident à l'aide des IOC. |
Surveillance humaine | Oui Les services MDR sont assurés par une combinaison de technologie avancée avec des threat hunters et intervenants sur incident humains. | Surveillance humaine limitée. Les MSSP s'appuient généralement sur la technologie seule pour détecter les cybermenaces au sein de l'environnement informatique du client. |
Surveillance 24 h/24 et 7 j/7 | Oui La MDR inclut des services de surveillance 24 h/24 et 7 j/7. | Surveillance limitée. Dans la plupart des cas, les MSSP proposent des services de surveillance limités. |
Coût | $$ Étant donné que la MDR propose des services plus robustes, notamment des capacités de correction, le coût est souvent plus élevé qu'un MSSP. | $ Le coût d'un MSSP est généralement inférieur à celui de la MDR puisqu'il ne fournit pas de services de correction ni de surveillance permanente. |
Comment choisir la meilleure solution pour votre entreprise ?
Lorsqu'il s'agit de choisir entre MSSP et MDR, les entreprises doivent prendre en compte plusieurs éléments concrets. Cela concerne notamment les petites entreprises dotées d'un budget informatique plus resserré et dont le parc technologique est toujours en cours de consolidation.
La MDR est pour vous si votre entreprise est concernée par les éléments suivants :
- Elle ne dispose pas d'un SOC (Security Operation Center) ou d'une équipe de cybersécurité interne pour gérer et répondre aux alertes.
- Elle n'est pas préparée à l'accueil ou la formation de personnel dédié à la cybersécurité ni à exploiter et gérer en interne l'ensemble d'outils de cybersécurité.
- Elle a besoin d'une surveillance permanente, d'une réponse à incident et de correction afin d'assurer les activités de l'entreprise.
- La loi lui impose la mise en place de mesures de sécurité pour protéger les données client.
Un MSSP vous correspond si votre entreprise correspond aux éléments suivants :
- Elle dispose déjà d'un SOC (Security Operation Center) pleinement fonctionnel ou d'une équipe interne de réponse à incident.
- Elle affiche un profil de risque relativement faible. En d'autres termes, son empreinte numérique reste modérée, elle ne s'appuie pas sur des actifs numériques pour réaliser ses tâches et stocker les données client sensibles ou la propriété intellectuelle.
- Elle fait face à d'importantes contraintes budgétaires qui rendent la MDR inaccessible.
- Elle souhaite externaliser uniquement les tâches de sécurité basiques, comme les correctifs logiciels et les mises à niveau système.
Protéger votre entreprise avec la MDR de CrowdStrike
CrowdStrike Falcon® Complete est un service de MDR par CrowdStrike. Il fournit aux entreprises une protection complète contre les compromissions au niveau des endpoints, des workloads et des identités grâce à une gestion, à un Threat Hunting, à une surveillance et à une correction de pointe.
Pour en savoir plus sur les avantages de Falcon Complete et ce qu'il peut apporter à votre entreprise, contactez un expert CrowdStrike dès aujourd'hui.